jueves, 24 de julio de 2014

Cómo el CISO y el CEO pueden hablar el mismo idioma


Desde hace 10 años el CEO (Chief Executive Officer) ha comenzado a entender como la seguridad TI y los responsables de seguridad pueden convertirse en habilitadores de negocio.

Esto se debe a que los responsables de la seguridad TI han conseguido el camino para traducir los problemas de seguridad a un lenguaje de negocio que el CEO puede entender.

Tradicionalmente el negocio cuida la caída de la línea de producción (ensamblado de coches, empaquetado de productos, procesamiento de materia prima) y no cuida la caída de TI.

Es importante hacer ver al negocio que detrás de las operaciones de producción del negocio hay una serie de elementos de TI que necesitan ser reparados, cambiados y configurados de forma segura.
Los responsables de seguridad deben ser capaces de conectar el impacto actual de la caída del  negocio con los fallos de seguridad que impacten en la caída del negocio. En este punto se unen la línea de protección del negocio y la de reducción del riesgo del negocio.



El CEO debe tener claro que 1 hora de caída de TI tiene como resultado 40 coches menos ensamblados por caída de la línea de ensamblado. El problema está cuando el CEO reporta en su inventario 40 coches menos y no una caída de TI, en esta caso el CEO está preocupado por la producción del coche y no por los servicios TI.

En todo caso si se reporta una perdida en el inventario estamos hablando de un problema de negocio. Si hay un problema de negocio,  el área de TI y de seguridad deben informar las cosas que necesitan ser corregidas cada uno desde su ámbito. Al equiparar el problema de negocio con los elementos TI y de seguridad necesarios y que impactan en el problema estamos habilitando a la empresa a ser más eficiente, aumentar la producción y, como consecuencia, aumentar los beneficios.

Hay que eliminar la cultura de desconectar, que consiste en que la seguridad es un problema técnico que puede ser resuelto por TI, los problemas técnicos deben ser resueltos por los administradores u operadores de TI y los de seguridad deben ser resueltos por los responsables de seguridad TI.

Hay que direccionar dentro de la gestión del riesgo la seguridad TI, se estima que sólo el 30% por ciento de las organizaciones adoptan un enfoque basado en riesgos para la seguridad TI. En lugar de ser los defensores de la organización, los administradores de seguridad de TI están interesados ​​en ser facilitadores de ese equilibrio entre la necesidad de proteger y las necesidades para ejecutar el negocio.



Un responsable de seguridad no se preocupa de si un hacker hará un ataque a la página de la compañía, un responsable de seguridad se preocupa de preparar la compañía para afrontar riesgos mediante la implementación de medidas y prácticas.


La seguridad no es una persona al lado de un firewall, la seguridad es desarrollar programas de riesgos alineados con las necesidades del negocio.

martes, 1 de julio de 2014

“Indisponibilidad Personal Crítico” Un Escenario de Continuidad en Desarrollo

Desde hace años los profesionales de la continuidad llevamos tiempo tratando escenarios de desastre de todo tipo en las diferentes organizaciones: indisponibilidad sede, indisponibilidad sistemas TI, indisponibilidad proveedores… De todos estos escenarios y en base a la experiencia y al trabajo realizado, se ha conseguido establecer  un know how  que permite a las organizaciones no partir de cero, siendo el escenario más contemplado y trabajado en las empresas el Plan de Recuperación frente a Desastres (que aborda la indisponibilidad de los sistemas TI).


Sin embargo en relación con el personal clave de las empresas no hay mucho trabajo realizado. Son numerosos los países que en los últimos años han sufrido algún tipo de pandemia, o países en los cuales hay revueltas importantes que implican huelgas severas con duraciones prolongadas. Las personas son activos muy importantes en las empresas y en algunos casos la indisponibilidad de ciertos roles críticos puede suponer la interrupción de actividades vitales para el negocio o la pérdida de know how para la organización.


Actualmente muchas organizaciones disponen de Planes de Sucesiones en los cuales se tiene identificado el personal clave de cada departamento y donde para cada uno de ellos se ha definido un sucesor de emergencia (para bajas de hasta 6 meses) y un sucesor primario (para bajas más prolongadas en el tiempo). En estos planes de sucesión se analiza:

§  si a nivel individual se tienen identificadas las competencias que cada empleado necesita desarrollar para ejecutar el trabajo y asegurar una carrera a largo plazo
§  Si a nivel de negocio se tiene identificadas las competencias  y el diseño organizacional  para soportar los procesos requeridos por el negocio
§  Los aspectos de formación necesarios para desempeñar futuras tareas de determinados roles/cargos (críticos)
§  Identificación de las áreas con conocimiento compartido y multidisciplinar (entre roles de la misma área y entre diferentes áreas)

Sin duda este Plan de Sucesión es un gran primer paso  que permite a la organización disponer de una estrategia de recuperación formalizada ante bajas puntuales de personal clave. Sin embargo este plan no cubre el escenario de una indisponibilidad de personal más generalizada  como por ejemplo la baja simultánea de varias personas clave en una misma área o en varias, o la indisponibilidad de un departamento entero… Las causas pudieran ser variopintas, una pandemia, una huelga generalizada, una sucesión de casuísticas, un accidente en un viaje corporativo… Para estos escenarios es imprescindible disponer de políticas y de controles que permitan mitigar estos riesgos (políticas sanitarias, políticas de viajes, etcétera…) pero el siguiente reto que la organización debe abordar es la elaboración de un Plan de Indisponibilidad Generalizada de Personal Crítico que garantice la existencia de una estrategia clara para un escenario de este tipo (poco probable pero con consecuencias que pudieran ser muy importantes). Debido a la alta dependencia que las organizaciones desarrollan del personal, no es sencillo definir estrategias robustas que permitan cubrir este escenario, pero en base a nuestra experiencia, los pilares sobre los que se sustenta este plan y que permiten alcanzar la resiliencia en el capital humano de una organización son:

§  Políticas y Comunicaciones: Definición de políticas específicas como baja por enfermedad, política de viajes y formalizarlas a fin de establecer canales de comunicación en caso de desastre
§ Educación de los empleados y soporte: Formar y capacitar a los empleados en la continuidad de negocio y en los planes existente que abordan escenarios.
§  Infraestructura Virtual / Teletrabajo: Establecer vías alternativas de trabajo remoto.
§  Formación Profesional: Redundar el know-how y preparar al personal para asumir roles de más responsabilidad.
§  Gestión del Talento: Plan de Sucesiones a corto y largo plazo.
§  Sistema de RRHH: preparar al departamento de RRHH para dar soporte durante una crisis y activar los procesos críticos del área, pago de nóminas, subcontratación durante la crisis…
§ Cultura de Organización: Involucrar a los empleados en la cultura de continuidad de negocio, dándoles las herramientas a los empleados para que vean que en caso de desastre es su responsabilidad ejecutar en modo degradado su trabajo. 


Sin duda, este es un escenario muy importante a contemplar y en el que todavía nos queda un largo camino que recorrer a muchas organizaciones, pero la implantación de estos pilares nos debe hacer dar un paso más hacia la resiliencia.